Le spécialiste du stockage et du partage de fichiers Dropbox a révélé une violation de données affectant son service de signature électronique, Dropbox Sign. La société explique dans un communiqué publié le 1er mai avoir détecté le 24 avril un accès non autorisé aux systèmes de production du service.

« Après une enquête plus approfondie, nous avons découvert qu’un acteur malveillant avait accédé à des données comprenant des informations client Dropbox Sign telles que des e-mails, des noms d’utilisateur, des numéros de téléphone et des mots de passe hachés, en plus des paramètres généraux du compte et de certaines informations d’authentification telles que les clés API, les jetons OAuth et plusieurs -authentification par facteur », précise l’entreprise.

Dropbox détaille également le mode opératoire utilisé :

« L’acteur a compromis un compte de service qui faisait partie du back-end de Sign, qui est un type de compte non humain utilisé pour exécuter des applications et exécuter des services automatisés. En tant que tel, ce compte avait le privilège d’effectuer diverses actions au sein de l’environnement de production de Sign. L’acteur malveillant a ensuite utilisé cet accès à l’environnement de production pour accéder à notre base de données clients. »

Dropbox précise que la violation a également révélé les noms et adresses e-mail de non-titulaires de compte, y compris toute personne ayant déjà signé ou reçu un document via Dropbox Sign.

En revanche, seule l’infrastructure Dropbox Sign serait concernée et non celles des autres produits du géant californien. Pour rappel, Dropbox a acquis le service de signature électronique HelloSign en 2019 et l’a rebaptisé Dropbox Sign en 2022. Le service conserverait ainsi une infrastructure « largement distincte » de celle des autres services.

Dropbox déclare enfin n’avoir découvert à ce stade aucune preuve d’un accès au contenu du compte des clients, qu’il s’agisse des documents et accords ou des informations de paiement.

En réponse à cette intrusion, Dropbox a réinitialisé les mots de passe des utilisateurs, déconnecté les utilisateurs de tous les appareils qu’ils avaient précédemment connectés à Dropbox Sign et organisé la rotation de toutes les clés API et jetons OAuth. Comme lors de tout cas de vol de données personnelles, les clients doivent rester particulièrement vigilants face au risque de campagnes d’hameçonnage ciblé.